【SORACOM UG】SIM Deep Dive セキュアエレメント編

Transcript

1. SIM Deep Dive セキュアエレメント編 Apr. 6, 2024 SORACOM UG Online

   #19 ～SIMの日を祝おう～ 株式会社ソラコム テクノロジー・エバンジェリスト 松下 享平 (Max / @ma2shita)

2. 今日のハッシュタグ #SORACOMUG ※ソラコムの公式ハッシュタグもあります #SORACOM

3. 株式会社ソラコム テクノロジー・エバンジェリスト 松下 享平 (まつした こうへい) "Max" • 静岡県民 新幹線通勤族

   • 講演や執筆を中心に活動、登壇数600以上/累計 • 経歴: 東証二部ハードウェアメーカーで情シス、 EC 事業、IoT 事業開発を経て2017年より現職 • 好きな言葉「論よりコード」 • AWS ヒーロー (2020年受賞) • X(旧Twitter): @ma2shita • 最近、YouTuberっぽい機材を集めてます ← NEW!! WiJG?, Public domain, via Wikimedia Commons

4. 運営・参加者のみなさま ありがとうございます！ みんなで作るのが「コミュニティ」 感謝のポストをぜひ!! #soracomug

5. 4月6日は 『ソラコム・SIMの日』 シ ム

6. https://twitter.com/official_kddi/status/1776381870428840426

7. ソラコム・SIM の日が生まれた話は https://speakerdeck.com/soracom/history-of-soracom-sim-anniversary

8. セキュアエレメント？

9. Root of Trust とセキュアエレメント Root of Trust (RoT; 信頼の起点) 認証や暗号化の最初の出発点として使用できる情報源

   セキュアエレメント RoT の実装の１つ。例は IC カードや SIM。ストレージと CPU を搭載している。 TPM (トラステッド・プラットフォーム・モジュール) や HSM (ハードウェア・セキュリティ・モジュール) も セキュアエレメントの実装。 • 決められた手順でのみ読み書きが可能 • それ以外の方法では読めず、物理的な破壊で読み出しを試みても、内部情報が 消滅してしまう 構造解析に強く、情報の読み出しや複製が困難なハードウェア “耐タンパー性が高い” と表現

10. 例えば一部を剥がして、内部データの読み取り を試みても、読み取れない

11. クラウド ネットワーク センサー / デバイス “モノ” IoT デバイスが持つ3つの認証情報とリスク クラウド連携 ネットワーク接続

    不正接続によるリスク ➢ リソースの不正利用 → 直接的な被害 ➢ 虚偽データの混入 → 信頼性の低下 デバイス保守 他の同デバイス 複製

12. 無人運用されるのが IoT デバイス IoT デバイスは 最も狙いやすい対象 • 人の目が届かない • 限定的なハードウェア

    リソース 分解等の構造解析で 内部情報の閲覧や複製がしやすい

13. クラウド ネットワーク センサー / デバイス “モノ” IoT デバイスが持つ3つの認証情報とリスク クラウド連携 ネットワーク接続

    不正接続によるリスク ➢ リソースの不正利用 → 直接的な被害 ➢ 虚偽データの混入 → 信頼性の低下 デバイス保守 他の同デバイス 複製 複製を防ぐには？ a. 難読化 ― 読み出しづらくする • 暗号化 復号キーの格納先 = 鶏卵問題 • 限定化 (複製できても、役立たない) クラウド側のポリシーで限定可能だが、 すべての脅威を排除できない b. 情報の排除 ― 読み出し対象を無くす • オンデマンド入手 (通信を利用) 通信の接続情報の格納先 = 鶏卵問題 鶏卵問題を解決できるのが “Root of Trust”

14. TPM 2.0 # PC搭載セキュリティチップ （TPM）の 概要と最新動向

15. TPM 2.0 https://qiita.com/mune10/items/5f565fcd8f010179d529 https://qiita.com/mune10/items/cf45a296193bb78f5c5b ソフトウェアベースのものもある

16. セキュアエレメントの基本動作 秘密の情報 • 合言葉 = 花 秘密の作り方 (ロジック) • 合言葉を３文字目に入れる

    “春の祭り” “春の花祭り” “春の花祭り” “春の花祭り” “春の祭り” 暗号化処理 復号化処理

17. セキュアエレメントの基本動作 秘密の情報 • 合言葉 = 花 秘密の作り方 (ロジック) • 合言葉を３文字目に入れる

    “春の祭り” “春の花祭り” “春の花祭り” “春の花祭り” “春の祭り” 内容を知らずとも 利用ができる 暗号化処理 復号化処理

18. セキュアエレメントの基本動作 秘密の情報 • 合言葉 = 花 秘密の作り方 (ロジック) • 合言葉を３文字目に入れる

    “春の祭り” “春の花祭り” “春の花祭り” “春の花祭り” 秘密の情報 • 合言葉 = パン “春のパン祭り” じゃない！？ 復号に失敗

19. urllib.request が使えるなら、 デバイスも扱える！ 1 2 3 4 5 6 7

    8 9 10 import urllib.request URL = 'https://example.com/api' req = urllib.request.Request(URL) with urllib.request.urlopen(req) as res: data = res.read() #=> data にHTTP Bodyが入ってる import pigpio pi = pigpio.pi() SENSOR_ADDR = 0x40 ctx = pi.i2c_open(I2C_INTERFACE, SENSOR_ADDR) (_, data) = pi.i2c_read_byte_data(ctx, 0x5e, 2) #=> data に距離データが入ってる 1 2 3 4 5 6 7 8 9 10 ラズパイ自由自在 電子工作パーツ制御 完全攻略 / 著:松岡貴志 P50 GP2Y0E03.py を参考に筆者変更 HTTP の代わりに、 I2C や SPI、UART といった “プロトコル” で センサーやアクチュエーターという「API サーバー」にアクセスする アドレス指定 データ取得

20. 私たちが使う暗号化・認証を意識せずに支えてくれているイイやつ それがセキュアエレメント！

21. 公式ガイドブック SORACOM プラットフォーム https://www.amazon.co.jp/dp/4296102001

22. 4月6日は 『ソラコム・SIMの日』 シ ム

23. 約３か月後 7月17日は何の日？

24. 日本最大級の IoT カンファレンス SORACOM Discovery 2024 ― 変える、今ここから 7/17(水) 東京ミッドタウン

    [東京/六本木] 複数トラックによる特別講演や IoT/DX 事例、 IoT 関連テックのセッション 会場だからこそ「見られる、触れられる」 ワークショップや展示会場 SORACOM Discovery 2023 の様子

25. One more thing …

26. 『技術評論社』知識地図シリーズ IoTの知識地図 設計・実装・運用のための必須知識をこれ一冊で 1. IoTの基礎とトレンド 2. IoTのデバイス 3. IoTにおけるセンサーの活用 4.

    IoTのネットワーク 5. IoTのデータ活用とクラウド利用 6. IoTによる双方向通信・遠隔制御 7. IoTのセキュリティ 8. IoTプロジェクトの取り組み方 https://gihyo.jp/book/2024/978-4-297-14069-4 本 2,860円(税込) ※電子書籍あり 4/17 発売！

27. お忘れなく！ 4/6 ソラコム・SIM の日 4/17 IoTの知識地図、販売開始！ 7/17 SORACOM Discovery 2024

    君んちのセキュアエレメントに書き込んどけ！ #soracomug #soracom

28. IoT の「つなぐ」を簡単に You Create. We Connect.